Сообщения без ответов | Активные темы Текущее время: 18 июл 2018, 02:03



Ответить на тему  [ Сообщений: 4 ] 
Установка сертификата на рутер для EASY VPN 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2113
Добрый день.
Пытаюсь сделать EASY VPN на базе сертификатов.
Сертификат пытаюсь накатить в ручную, через терминал. Протокол SCEP не подходит в иду специфики, и т.к. CA вне сетевой доступности.

Соответсвенно делаю следующее:
1.)
crypto ca trustpoint ***
enrollment terminal
2.)
Далее накатываю рутовый сертификат:
crypto ca authenticate ***
делаю copy paste - сертификат успешно принимается.
3.)
Далее генерирую certificate requeas:
crypto ca enroll name
Делаю copy paste запроса, захожу на веб морду используемого майкросовтовского центра сертификации, и на базе полученого запроса получаю требуемый сертификат *.cer.
При этом СА выдает по данному запросу выдает сертификат без закрытых ключей.
4.)
Накатываю полученный сертификат с помощью
crypto ca import name certificate
Сертификат принимается.

Но в результате EASY VPN не работает.
Говорит следующее:
(дебаг isakmp)
Jul 28 07:30:23.237: ISAKMP: encryption AES-CBC
Jul 28 07:30:23.237: ISAKMP: hash SHA
Jul 28 07:30:23.237: ISAKMP: default group 5
Jul 28 07:30:23.237: ISAKMP: auth XAUTHInitRSA
Jul 28 07:30:23.237: ISAKMP: life type in seconds
Jul 28 07:30:23.237: ISAKMP: life duration (VPI) of 0x0 0x20 0xC4 0x9B
Jul 28 07:30:23.237: ISAKMP: keylength of 128
Jul 28 07:30:23.241: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 3
Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1): vendor ID is NAT-T v2
Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM1 New State = IKE_R_MM1

Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1): constructed NAT-T vendor-02 ID
Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1): sending packet to 194.186.144.10 my_port 500 peer_port 2243 (R) MM_SA_SETUP
Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 28 07:30:23.293: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM1 New State = IKE_R_MM2

Jul 28 07:30:26.121: ISAKMP (0:134217736): received packet from 194.186.144.10 dport 500 sport 2243 Global (R) MM_SA_SETUP
Jul 28 07:30:26.121: ISAKMP:(0:8:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 28 07:30:26.121: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM2 New State = IKE_R_MM3

Jul 28 07:30:26.121: ISAKMP:(0:7:SW:1): retransmitting phase 1 MM_KEY_EXCH...
Jul 28 07:30:26.121: ISAKMP (0:134217735): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1
Jul 28 07:30:26.121: ISAKMP:(0:7:SW:1): retransmitting phase 1 MM_KEY_EXCH
Jul 28 07:30:26.121: ISAKMP:(0:7:SW:1): sending packet to 194.186.144.10 my_port 4500 peer_port 2241 (R) MM_KEY_EXCH
Jul 28 07:30:26.125: ISAKMP:(0:8:SW:1): processing KE payload. message ID = 0
Jul 28 07:30:26.193: ISAKMP:(0:8:SW:1): processing NONCE payload. message ID = 0
Jul 28 07:30:27.849: ISAKMP:(0:8:SW:1):SKEYID state generated
Jul 28 07:30:27.849: ISAKMP:received payload type 20
Jul 28 07:30:27.849: ISAKMP:received payload type 20
Jul 28 07:30:27.849: ISAKMP (0:134217736): NAT found, the node outside NAT
Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM3

Jul 28 07:30:27.853: ISAKMP (0:134217736): constructing CERT_REQ for issuer cn=****,dc=****,dc=local
Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1): sending packet to 194.186.144.10 my_port 500 peer_port 2243 (R) MM_KEY_EXCH
Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 28 07:30:27.853: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM3 New State = IKE_R_MM4

Jul 28 07:30:28.013: ISAKMP (0:134217736): received packet from 194.186.144.10 dport 4500 sport 2244 Global (R) MM_KEY_EXCH
Jul 28 07:30:28.013: ISAKMP:(0:8:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 28 07:30:28.013: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM4 New State = IKE_R_MM5

Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1): processing ID payload. message ID = 0
Jul 28 07:30:28.017: ISAKMP (0:134217736): ID payload
next-payload : 6
type : 9
Dist. name : ea=*****@****.ru,cn=PP>P?P? PP0P2P5P; PP=P4QP5P5P2P8Q,ou=****,ou=***,ou=****,dc=****,dc=local
protocol : 17
port : 0
length : 194
Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1):: UNITY's identity group: OU = ****
Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1):: peer matches VPN profile
Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1): processing CERT payload. message ID = 0
Jul 28 07:30:28.017: ISAKMP:(0:8:SW:1): processing a CT_X509_SIGNATURE cert
Jul 28 07:30:28.029: ISAKMP:(0:8:SW:1): peer's pubkey isn't cached
Jul 28 07:30:58.064: %CRYPTO-5-IKMP_INVAL_CERT: Certificate received from 194.186.144.10 is bad: CA request failed!
Jul 28 07:30:58.064: ISAKMP:(0:8:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 28 07:30:58.064: ISAKMP:(0:8:SW:1):Old State = IKE_R_MM5 New State = IKE_R_MM5

Jul 28 07:30:58.064: ISAKMP:(0:3:SW:1):purging node -364432423
Jul 28 07:30:58.068: ISAKMP:(0:6:SW:1):purging node 310400333


На сколько я понимаю - суть проблемы скорее всего в том, что сертификат на рутере без закрытых ключей.
И рутер не может подтвердить свою идентичность.
Если я прав, и нужны ключи - как я могу их накатить на рутер?
Как я понимаю - рутер кушает сертификаты только в формате *.cer и кодировке Base64.
C помощью майкросовтовского решения я могу получить ключи либо в виде *.pvk файла, либо *.pfx - но как это накатить на роутер? В формате *.cer получить сертификат с ключами, на сколько я знаю, - нельзся.

Или я не прав, и проблема не в закрытых ключах - для Easy VPN они не требуются?
Куда в этом случае копать?

Сами сертификаты вроде нормальные, для других целей успешно использовались.

Заранее благодарю за ответы.


28 июл 2010, 11:17
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4439
Вы НЕ правы: закрытых ключей в сертификате нет и никогда не было: там только открытый

При генерировании ключевой пары вы уже создали себе закрытый ключ. Потом по открытому ключу сделали запрос, получили ответ и поместили его на рутер. Если он съел (что грит команда
sh cry ca cert?)
значит все Ок

И проблема вероятнее всего в том, что он не может проверить CRL или время сбито

Отключите для проверки CRL
revocation-check none

и проверьте, что время жизни сертификата правильное.


28 июл 2010, 14:11
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2113
Fedia писал(а):
Вы НЕ правы: закрытых ключей в сертификате нет и никогда не было: там только открытый

При генерировании ключевой пары вы уже создали себе закрытый ключ. Потом по открытому ключу сделали запрос, получили ответ и поместили его на рутер. Если он съел (что грит команда
sh cry ca cert?)
значит все Ок


Спасибо большое за объяснение.
Нигде не видел, чтобы это было описано и долго удивлялся - зачем в приведенных примерах сначала генерятся rsa ключи самой циской.

Fedia писал(а):
И проблема вероятнее всего в том, что он не может проверить CRL или время сбито

Отключите для проверки CRL
revocation-check none

и проверьте, что время жизни сертификата правильное.


В проверке CRL - действительно был косяк. Я ее отключил и процесс пошел дальше, но не до конца)
Со временем вроде все хорошо.
Теперь затыкается так:

Jul 28 11:55:55.846: ISAKMP:(0:11:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Jul 28 11:55:55.846: ISAKMP:(0:11:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_XAUTH_REQ_SENT

Jul 28 11:55:57.538: ISAKMP (0:134217739): received packet from 194.186.144.10 dport 4500 sport 2852 Global (R) CONF_XAUTH
Jul 28 11:55:57.542: ISAKMP: set new node -1278524793 to CONF_XAUTH
Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1): processing HASH payload. message ID = -1278524793
Jul 28 11:55:57.542: ISAKMP:received payload type 18
Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1): processing DELETE_WITH_REASON payload, message ID = -1278524793, reason: DELETE_BY_USER_COMMAND
Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):peer does not do paranoid keepalives.

Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):peer does not do paranoid keepalives.

Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):deleting SA reason "BY user command" state (R) CONF_XAUTH (peer 194.186.144.10)
Jul 28 11:55:57.542: ISAKMP:(0:11:SW:1):deleting node -1278524793 error FALSE reason "Informational (in) state 1"
Jul 28 11:55:57.570: ISAKMP: set new node -998583792 to CONF_XAUTH
Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1): sending packet to 194.186.144.10 my_port 4500 peer_port 2852 (R) CONF_XAUTH
Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1):purging node -998583792
Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Jul 28 11:55:57.570: ISAKMP:(0:11:SW:1):Old State = IKE_XAUTH_REQ_SENT New State = IKE_DEST_SA

Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):deleting SA reason "No reason" state (R) CONF_XAUTH (peer 194.186.144.10)
Jul 28 11:55:57.574: ISAKMP:(0:0:N/A:0):Can't decrement IKE Call Admisstion Control stat incoming_active since it's already 0.
Jul 28 11:55:57.574: ISAKMP: Unlocking IKE struct 0x6395CE28 for isadb_mark_sa_deleted(), count 0
Jul 28 11:55:57.574: ISAKMP: Deleting peer node by peer_reap for 194.186.144.10: 6395CE28
Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):deleting node 537110060 error FALSE reason "IKE deleted"
Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 28 11:55:57.574: ISAKMP:(0:11:SW:1):Old State = IKE_DEST_SA New State = IKE_DEST_SA

Jul 28 11:55:58.930: ISAKMP:(0:5:SW:1):purging node 880978444
Jul 28 11:55:58.930: ISAKMP:(0:5:SW:1):purging node -647180776term


Клиент пишет следующее:

16 16:37:42.358 07/28/10 Sev=Info/4 IPSEC/0x63700008
IPSec driver successfully started

17 16:37:42.358 07/28/10 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

18 16:37:42.421 07/28/10 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 194.186.222.218

19 16:37:42.421 07/28/10 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (SA, VID(Nat-T)) from 194.186.222.218

20 16:37:42.421 07/28/10 Sev=Info/5 IKE/0x63000001
Peer supports NAT-T

21 16:37:42.421 07/28/10 Sev=Info/6 IKE/0x63000001
IOS Vendor ID Contruction successful

22 16:37:42.421 07/28/10 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM (KE, NON, NAT-D, NAT-D, VID(?), VID(Unity)) to 194.186.222.218

23 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 194.186.222.218

24 16:37:43.717 07/28/10 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM (KE, NON, CERT_REQ, VID(Unity), VID(dpd), VID(?), VID(Xauth), NAT-D, NAT-D) from 194.186.222.218

25 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001
Peer is a Cisco-Unity compliant peer

26 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001
Peer supports DPD

27 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001
Peer supports DWR Code and DWR Text

28 16:37:43.717 07/28/10 Sev=Info/5 IKE/0x63000001
Peer supports XAUTH

29 16:37:43.858 07/28/10 Sev=Info/4 CERT/0x6360001B
No smart card readers with cards inserted found.

30 16:37:43.858 07/28/10 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK MM *(ID, CERT, CERT_REQ, SIG, NOTIFY:STATUS_INITIAL_CONTACT) to 194.186.222.218

31 16:37:44.967 07/28/10 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 194.186.222.218

32 16:37:44.967 07/28/10 Sev=Info/4 IKE/0x63000084
Out of Order Packet Processing - Queuing a packet (Informational) received out of order

33 16:37:44.967 07/28/10 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 194.186.222.218

34 16:37:44.967 07/28/10 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK MM *(ID, CERT, SIG) from 194.186.222.218

35 16:37:45.092 07/28/10 Sev=Info/4 CERT/0x63600015
Cert (cn=vpn_router,ou=_special,ou=Tescom,ou=Users,ou=OPTIMA,dc=optima,dc=local) verification succeeded.

36 16:37:45.092 07/28/10 Sev=Warning/3 IKE/0xE3000082
Invalid remote certificate id: ID_FQDN: ID = vpn_router.optima.local, Certificate = local + optima

37 16:37:45.092 07/28/10 Sev=Warning/3 IKE/0xE3000059
The peer's certificate doesn't match Phase 1 ID

38 16:37:45.092 07/28/10 Sev=Warning/2 IKE/0xE30000A7
Unexpected SW error occurred while processing Identity Protection (Main Mode) negotiator:(Navigator:2238)

39 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000017
Marking IKE SA for deletion (I_Cookie=1AB585468B297A4C R_Cookie=B4E8CFB4761AFE98) reason = DEL_REASON_IKE_NEG_FAILED

40 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000013
SENDING >>> ISAKMP OAK INFO *(HASH, DWR) to 194.186.222.218

41 16:37:45.092 07/28/10 Sev=Info/5 IKE/0x6300002F
Received ISAKMP packet: peer = 194.186.222.218

42 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000058
Received an ISAKMP message for a non-active SA, I_Cookie=1AB585468B297A4C R_Cookie=B4E8CFB4761AFE98

43 16:37:45.092 07/28/10 Sev=Info/4 IKE/0x63000014
RECEIVING <<< ISAKMP OAK TRANS *(Dropped) from 194.186.222.218

44 16:37:45.858 07/28/10 Sev=Info/4 IKE/0x6300004B
Discarding IKE SA negotiation (I_Cookie=1AB585468B297A4C R_Cookie=B4E8CFB4761AFE98) reason = DEL_REASON_IKE_NEG_FAILED

45 16:37:45.858 07/28/10 Sev=Info/4 CM/0x63100014
Unable to establish Phase 1 SA with server "194.186.222.218" because of "DEL_REASON_IKE_NEG_FAILED"

46 16:37:45.858 07/28/10 Sev=Info/5 CM/0x63100025
Initializing CVPNDrv

47 16:37:45.858 07/28/10 Sev=Info/6 CM/0x63100046
Set tunnel established flag in registry to 0.

48 16:37:45.858 07/28/10 Sev=Info/4 IKE/0x63000001
IKE received signal to terminate VPN connection

49 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

50 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

51 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x63700014
Deleted all keys

52 16:37:45.858 07/28/10 Sev=Info/4 IPSEC/0x6370000A
IPSec driver successfully stopped



28 июл 2010, 16:01
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2113
Проблема рещена следующими действиями.

1.) revocation-check none - что в общем понятно. CA у меня не доступен по сети для рутера)))

2.) Была создана группа юзеров с названием идентичным имени группы в сертификате.
Сразу сделать это не догадался. Различались они из-за того - что там исторически была другая группа с preshared-key.

3.) crypto isakmp identity dn


Сергей, спасибо вам большое! Благодарю за очень оперативную помощь.

Проблему полагаю стоит перевести в решенные.


28 июл 2010, 16:42
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB